De ti mest kritiske sårbarhetene i webapplikasjoner

En rapport fra OWASP-prosjektet setter søkelyset på vanlige sårbarheter i webapplikasjoner. Alle kan utnyttes av uvedkommende ved hjelp av lett tilgjengelige verktøy.

OWASP, Open Web Application Security Project, publiserte mandag en rapport som tar for seg webapplikasjoner og manglende sikkerhet. Konklusjonen er at feil i webapplikasjoner er overraskende mye utbredt. Slike angrep kan normalt ikke forhindres av brannmurer, filtre, SSL (Secure Sockets Layer) eller IDS (Intrusion Detection System) fordi de er skjult i lovlige HTTP-forespørsler (Hypertext Transfer Protocol).

- Et overveldende antall organisasjoner bruker store beløp på å sikre nettverket sitt, men glemmer av en eller annen grunn applikasjonene, sier Jeffrey Williams, administrerende direktør i Aspect Security, et selskap som fokuserer på sikkerhet i webapplikasjoner, i en pressemelding.

- Denne ti-på-topp-listen skraper akkurat nå toppen av et enorm isfjell, mener Peter G. Neumann, moderator for ACM Risks Forum (comp.risks).

- Den underliggende sannheten er at de fleste systemer og webapplikasjoner er skrevet uten at det er tatt hensyn til sikkerhetsprinsipper, operasjonelle konsekvenser og ikke minst vanlig fornuft.

Sverre H. Huseby, daglig leder i Heimdall Net Defense, hjelper til daglig norske bedrifter med å unngå slike problemer som det her er snakk om.


Han forteller til digi.no at han stadig kommer over dynamiske websider med symptomer på sårbarheter.

- Jeg vil anslå at annethvert dynamiske nettsted jeg forsiktig leker med har symptomer på en eller flere av feilene som nevnes i dokumentet, sier Huseby, som understreker at han aldri ubedt gjør tester som kan være destruktive, eller som gir ham adgang til informasjon han ikke bør ha adgang til.

Huseby forteller videre han pleier å sende en e-post med beskrivelse av problemet til de nettstedene hvor han oppdager symptomer på svakheter - enten det gjelder private hjemmesider eller nettbutikker og nettbanker. Men bare unntaksvis får han svar og sjelden blir feilene rettet.

Ti på topp-listen over sårbarheter i webapplikasjoner er som følger:

  1. Manglende validering av URL-parametre
  2. Svakheter i aksesskontrollen
  3. Manglende beskyttelse av kontoakkreditiver, nøkler og sesjonscookies
  4. Skriptfeil på tvers av nettsteder (XSS)
  5. Overflodsfeil i mellomlagre
  6. Parameterhåndtering i forbindelse med kommandoer sendt til eksterne systemer
  7. Problemer forbundet med feilhåndtering
  8. Usikker bruk av kryptering
  9. Feil forbundet med fjernadministrasjon
  10. Feilkonfigurering av web- og applikasjonsservere


Hele rapporten, samt en mer detaljert forklaring på listen over, finner du på denne siden hos OWASP.

Til toppen